Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

win32.banker.fs и trojan.spyagent.da (заявка № 18791)

  1. #1
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59

    Thumbs up win32.banker.fs и trojan.spyagent.da

    постоянно выскакивают системные сообщения об этих вирусах, norton обновляется, работает, но ничего не видит... не знаю что делать..
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от connan Посмотреть сообщение
    ... не знаю что делать..
    выполнить

  4. #3
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59
    выполнил...

    Добавлено через 1 минуту

    avz заподозрил аж 80 файлов, но больше ничего не изменилось...
    Последний раз редактировалось connan; 27.02.2008 в 23:53. Причина: Добавлено

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от connan Посмотреть сообщение
    выполнил...
    для начала нужно было хотя бы прочитать
    где логи ?

  6. #5
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59
    упс... что-то сразу не всё прикрепилось... сорри..
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll','');
     QuarantineFile('D:\Program Files\Internet Explorer\SETUPAPI.dll','');
     QuarantineFile('D:\WINDOWS\system32\basebvw32.dll','');
     QuarantineFile('D:\WINDOWS\system32\bitsprx.dll','');
     QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('D:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\winload.exe','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     DeleteFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('D:\WINDOWS\system32\cssrss.exe');
     DeleteFile('D:\WINDOWS\system32\ntos.exe');
     DeleteFile('D:\WINDOWS\system32\bitsprx.dll');
     DeleteFile('D:\Program Files\Internet Explorer\SETUPAPI.dll');
     DelBHO('{9D28597B-67AA-4755-BCD5-56D20889E8B0}');
     BC_DeleteSvc('smtpdrv');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  8. #7
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59
    вроде как переслал...

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    перечитайте как нужно отправлять файлы ( приложение 3 правил ) ... только читать внимательно .....

  10. #9
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59
    прошу прощенья... теперь вроде всё как надо сделал

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll not-virus:Hoax.Win32.Renos.awn
    D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll not-virus:Hoax.Win32.Renos.awm
    D:\Program Files\Internet Explorer\SETUPAPI.dll Trojan-Spy.Win32.Webmoner.fx
    D:\WINDOWS\system32\basebvw32.dll Trojan.Win32.Agent.edu
    D:\WINDOWS\system32\ntos.exe Trojan-Spy.Win32.Zbot.ajx
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll');
     DeleteFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    затем еще один ...
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    повторите логи ...

  12. #11
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59
    ну хоть теперь я правильно понял, что после скриптов надо было повторить начальные операции и новые логи прислать?
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Да, все правильно. Лечение прошло успешно. Осталось подобрать мусор.
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll (file missing)
    O2 - BHO: WindowsUpdate Class - {B3B010A1-A877-4CD7-BAB5-9EE8F9965E20} - D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll (file missing)
    O3 - Toolbar: Seekmo Toolbar - {53E0B6E8-A51D-448B-B692-40B67B285543} - D:\Program Files\Seekmo Programs\Seekmo Toolbar\SeekmoTB.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll (file missing)
    O4 - HKLM\..\Run: [winclean] d:\windows\system32\winclean.exe
    O4 - HKLM\..\Run: [winload] C:\Program Files\Internet Explorer\winload.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59
    вроде так...
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Еще одну пустышку проглядел, извиняюсь.
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('kcp');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Какие-нибудь проблемы остались?
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59
    да... после выполнения предыдущего скрипта комп начал перезагружаться и завис...
    и написать об этом было не с чего...

    Добавлено через 1 минуту

    так грузиться и не хочет...
    Последний раз редактировалось connan; 28.02.2008 в 10:48. Причина: Добавлено

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Защищ. режим тоже не работает?
    Тогда придется делать откат к посл. успешной конфигурации и повторять все логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59
    он ВООБЩЕ не грузится... просто чёрный экран и всё...
    сейчас взял загрузочный диск на работе буду с него загружаться...
    стыдно конечно спрашивать, но не знаю как "откат к посл. успешной конфигурации" произвести...

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    При загрузке клавишу F8 давишь, там меню выскакивает, в нем пункт этот должен быть.

    Можешь еще защищенный попробовать (Safe Mode)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    59
    да не работает F8... что-то вроде грузит сначала, причём на экране вообще ничего не видно, а потом зависает...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Глюк какой-то. Скрипт совершенно тривиальный и безопасный, не мог он такое сотворить ну никак. На экране совсем-совсем ничего не появляется? Может сигнальный кабель отвалился?
    I am not young enough to know everything...

  • Уважаемый(ая) connan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.Banker.FS Trojan.SpyAgent.Da. [Trojan.Win32.Agent.bheh ]
      От Granat-MAXI в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 10:03
    2. Win32.Banker.FS Trojan.SpyAgent.Da
      От vovik в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 09:14
    3. ...Win32.Banker.FS Trojan.SpyAgent.Da...
      От pofigist008 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 09:01
    4. Еще раз о Win32.Banker.FS Trojan.SpyAgent.Da.
      От dekty в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:43
    5. Win32.Banker.FS Trojan.SpyAgent.Da.
      От Харченко Сергей в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.03.2008, 13:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01351 seconds with 18 queries